Στο διαδίκτυο η επικρατέστερη πρακτική κρυπτογράφησης είναι η κρυπτογράφηση σύνδεσης (connection’s encryption). Καθημερινά χρησιμοποιούμε τέτοια κρυπτογράφηση όταν επισκεπτόμαστε websites με HTTPS ή όταν διαβάζουμε τα email μας με SSL/TLS/STARTTLS και άλλα. Η κρυπτογράφηση αυτή προσφέρει εμπιστευτικότητα των δεδομένων ανάμεσα στον client (τον υπολογιστή του χρήστη) και τον server. Με τον τρόπο αυτό, οποιοσδήποτε ενδιάμεσος κόμβος ανάμεσα στον χρήστη και τον server, δεν μπορεί να διαβάσει τα δεδομένα της σύνδεσης.

Όταν δύο χρήστες θέλουν να επικοινωνήσουν κρυπτογραφημένα, τα πράγματα διαφοροποιούνται. Αν αρκεστούν για παράδειγμα στο HTTPS που προσφέρει το website της υπηρεσίας email τους (για παράδειγμα https://mail.espiv.net) τα δεδομένα θα κρυπτογραφηθούν στη σύνδεση μεταξύ χρήστηΑ και server, θα αποκρυπτογραφηθούν/διαβαστούν στον server, και στη συνέχεια θα κρυπτογραφηθούν πάλι για τη σύνδεση μεταξύ χρήστηΒ και server. Με άλλα λόγια τα δεδομένα της σύνδεσης, είναι αναγνώσιμα από τον server. Αυτό είναι μη επιθυμητό σε πολλές περιπτώσεις. Για παράδειγμα ένας server μπορεί να είναι ευάλωτος σε συγκεριμένη ευπάθεια που επιτρέπει την πρόσβαση σε κακόβουλους.

Το κενό αυτό έρχεται να καλύψει η κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption). Ένας από τους τρόπους με τον οποίο οι χρήστες μπορούν να επιτύχουν από άκρη σε άκρη κρυπτογράφηση είναι η χρήστη GPG/OpenPGP. Η λογική της χρήσης GPG/OpenPGP, δηλαδή ασύμμετρης κρυπτογραφίας στα email είναι οι χρήστες να μπορούν να ανταλάσσουν μηνύματα χωρίς να εμπιστεύονται κανέναν ενδιάμεσο κόμβο στη διαδρομή.

Ο χρήστηςΑ θα κρυπτογραφήσει το email στο ένα άκρο, τον υπολογιστή του, θα το στείλει μέσω του server στον χρήστηΒ. Ο χρήστηςΒ θα λάβει το κρυπτογραφημένο email, και θα το αποκρυπτογραφήσει τοπικά στον υπολογιστή του. Κατά τη διαδρομή αυτή, κανένας ενδιάμεσος, κανένας πλην των δυο εμπλεκομένων στη συνομιλία χρηστών, δεν είναι σε θέση να διαβάσει το περιεχόμενο του email.

Ακόμα, για να γίνεται σωστά η διαδικασία αυτή, πρέπει κάθε χρήστης να φυλάει με μεγάλη προσοχή το ιδιωτικό του κλειδί, τοπικά στον υπολογιστή του. Και αυτό διότι το ιδιωτικό κλειδί είναι αυτό που επιτρέπει την αποκρυπτογράφηση των email που του στέλνουν άλλοι χρήστες.

Ορισμένα webmails, όπως το squirrelmail επιτρέπουν μέσω plugin στον χρήστη να ανεβάζει το ιδιωτικό του GPG κλειδί στον server, ούτως ώστε να μπορεί να κρυπτογραφεί/αποκρυπτογραφεί emails μέσω του browser του. Η τακτική αυτή είναι εντελώς λανθασμένη και καταστρατηγεί ευθέως την έννοια της από άκρη σε άκρη κρυπτογράφησης.

Ανεβάζοντας το ιδιωτικό κλειδί στον server, ο χρήστης αναιρεί τη δυνατότητα να διαβάζει αυτός και μόνο τα κρυπτογραφημένα προς αυτόν emails. Οι servers είναι δημόσια μηχανήματα εκτεθειμένα στο διαδίκτυο, και είναι το πλέον ακατάλληλο σημείο να αποθηκεύσουμε ιδιωτικό κλειδί. Αναιρείται ακόμα η έννοια της μη-εμπιστοσύνης κανενός ενδιάμεσου κόμβου, αφού ο χρήστης επαφίεται ή στο ότι οι διαχειριστές του server δεν θα διαβάσουν το ιδιωτικό του κλειδί και κατά προέκταση τα κρυπτογραφημένα email του ή επαφίεται στο ότι ο server είναι απόλυτα ασφαλής ενάντια σε οποιονδήποτε κακόβουλο αντίπαλο (πράγμα πολύ δύσκολο στην πράξη).

Ανακεφαλαιώνοντας, δεν ανεβάζουμε ποτέ μα ποτέ μα ποτέ το ιδιωτικό μας GPG/OpenPGP κλειδί σε οποιονδήποτε server, ακόμα και στον server του espiv.net.

Τα GPG/OpenPGP κλειδιά μας δεν πρέπει ποτέ να φεύγουν από τον υπολογιστή μας ή/και να αποθηκεύονται σε κάποιο μέσο του οποίου δεν έχουμε τον απόλυτο έλεγχο. Γι’ αυτό το λόγο, θέλοντας να προστατέψουμε τους χρήστες του espiv, δεν θα υπάρχει η δυνατότητα να κάνει κάποιος αυτό το “λάθος” από εδώ και πέρα, στο webmail του espiv δεν θα υπάρχει τρόπος κάποιος να ανεβάσει το GPG κλειδί του.

Όσον αφορά ορισμένα browser plugins, που κάνοντας χρήση javascript αφήνουν τα κλειδιά στη μεριά του χρήστη, αν και δε θέλουμε να είμαστε απόλυτοι οφείλουμε να σημειώσουμε : Μπορεί να είναι πολύ “βολικό” να διαχειριζόμαστε τα κρυπτογραφημένα μας email μέσω του browser, αλλά σίγουρα η χρήση browser και javascript για κρυπτογραφία ενέχει σοβαρούς κινδύνους.

Η ασφάλεια στο διαδίκτυο είναι ένα πολύ δύσκολο ζήτημα. Είναι όμως προτιμότερο να έχουμε επίγνωση ότι στο τάδε σημείο δεν είμαστε ασφαλείς, παρά να τρέφουμε την ψευδαίσθηση ότι είμαστε ασφαλείς. Η ψευδαίσθηση ασφάλειας μας ωθεί να εκτιθέμεθα περισσότερο συχνά με άσχημα αποτελέσματα.

Για να χρησιμοποιούμε ορθά το GPG/OpenPGP στα emails μπορούμε να το κάνουμε με χρήση ενός email client (προγράμματος για την διαχείριση email). Δείτε για παράδειγμα χρήση κρυπτογραφίας με Mozilla Thunderbird :

skytal.es/wiki/Οδηγός_εγκατάστασης_και_χρήσης_του_Thunderbird_με_Enigmail

Διαβάστε περισσότερα για τα emails και την κρυπτογράφηση δημοσίου κλειδιού :

skytal.es/wiki/Ασφαλής_επικοινωνία_μέσω_email
skytal.es/wiki/Κρυπτογράφηση_δημόσιου_κλειδιού

Στις 28 Απρίλη 2014 ένας αντιπρόσωπος του βραζιλιάνικου Ομοσπονδιακού Δημόσιου Κατήγορου (ή απλά “MPF”) αφαίρεσε τους σκληρούς δίσκους από τον κύριο server της ομάδας Saravá, κατεβάζοντας πολλές υπηρεσίες που φιλοξενούνταν από την ομάδα. Στις διαπραγματεύσεις με τo Saravá, συμφωνήθηκε ότι το MPF θα έπαιρνε μόνο τους δίσκους και δεν θα άγγιζε το υπόλοιπο μηχάνημα.

Σε συμφωνία με τις αρχές της, η ομάδα Saravá προστατεύει όλα τα δεδομένα στους server της χρησιμοποιώντας κρυπτογραφία. Κανένα κλειδί δεν είναι στην διάθεση του Πανεπιστημίου της Campinas (στμ: το πανεπιστήμιο που βρίσκεται ο server), οπότε δεν υπάρχει κανένας τρόπος για το πανεπιστήμιο να παρέχει τα δεδομένα σε όποιoντα ζητήσει. Αξίζει ακόμα να σημειωθεί ότι στη Βραζιλία δεν υπάρχει κανένας νομικός μηχανισμός που να υποχρεώνει την ομάδα Saravá να παραδώσει τα κλειδιά κρυπτογράφησης των σκληρών δίσκων. Με τον τρόπο αυτό, με ισχυρή κρυπτογραφία, σωστά υλοποιημένη, βασισμένη σε ελεύθερο λογισμικό και σύμφωνη με τις προτάσεις της ευρύτερης κοινότητας ασφαλείας, τα δεδομένα των χρηστών δεν κινδυνεύουν να παραβιαστούν.

Μετά την κατάσχεση και αφού το MPF έφυγε από το πανεπιστήμιο, εγκαταστήσαμε νέους δίσκους στον server και σε λιγότερο από 2 ώρες ήταν και πάλι online. Κάποια συστήματα κα υπηρεσίες που σχετίζονταν με τον παλιό server είναι ακόμα εκτός λειτουργίας, αλλά αποκαθίστανται χρησιμοποιώντας τα απομακρυσμένα backup. Θα δημιουργήσουμε νέα πιστοποιητικά κρυπτογράφησης (HTTPS/SSL/TLS) ως ένα αποτρεπτικό μέτρο.

Η ομάδα Saravá είναι μια οριζόντια, μη-κερδοσκοπική οργάνωση που λειτουργεί από εθελοντές, οι οποίοι συντηρούν την υποδομή της ομάδας με δωρεές. Το Saravá παρέχει ελεύθερα τις υπηρεσίες του και δίνοντας πρόσβαση σε ασφαλή εργαλεία που διευκολύνουν την διάρθρωση και την οργάνωση ερευνητικών ομάδων, συλλογικοτήτων και ατόμων, προσπαθεί να καθιερώθει σχέσεις συνεργασίας και αμοιβαίας βοήθειας με όλες και όλους που είναι μέρος της ευρύτερης αυτής κοινότητας.

Σας ευχαριστούμε για την αλληλεγγύη,
ομάδα Saravá

Επείγον – η ομάδα Saravá πρόκειται να χάσει τον κύριο server της!

Πρώτη κλοπή δεδομένων μετά την ψήφιση του διαδικτυακού νόμου Marco Civil : Η επίθεση της αστυνομίας ενάντια στην ιδιωτικότητα πιθανόν να συμβεί μετά την εκδήλωση NETMUNDIAL.

Λόγω μιας δικαστικής διαδικασίας που διαξάγεται μυστικά – ενάντια στο ράδιο Muda, τον παλαιότερο ανεξάρτητο ραδιοφωνικό σταθμό στην Βραζιλία, ο κύριος server της Saravá πρόκειται να κατασχεθεί την ερχόμενη Δευτέρα, 28 Απριλίου, στις 13:00 (Τοπική ώρα, GTM-3).

Στις 24 Φεβρουαρίου 2014 [1] είχε κατασχεθεί για πρώτη φορά ο εξοπλισμός του ράδιο Muda. Κατά τη διάρκεια της αγωγής, ο κατήγορος Edilson Vitorelli Diniz Lima από το Γραφείο του Δημόσιου Κατήγορου, υπόγραψε αίτημα κατάσχεσης του server με στόχο να πάρουν στα χέρια τους τα δεδομένα της ιστοσελίδας τους ράδιου με απώτερο σκοπό την πιθανή αναγνώριση των μελών του.

Ο server της Sarava βρίσκεται στο πανεπιστήμιο State University of Campinas – Unicamp, και φιλοξενεί την πλατοφόρμα radiolivre.org, συμπεριλαμβανομένης και της ιστοσελίδας του Ράδιο Muda, καθώς και άλλα ερευνητικά σχέδια που έχουν σχέση με το Unicamp και άλλα πανεπιστήμια στην Βραζιλία.

Η Sarava είναι μια ερευνητική ομάδα που για τα τελευταία 10 χρόνια έχει προσφέρει τεχνολογική υποδομή, πολιτική σκέψη και αυτόνομες και ασφαλείς πηγές επικοινωνίας ελεύθερα σε ερευντικές ομάδες και κοινωνικά κινήματα [2]. Το 2008, ένας από τους server της είχε κατασχεθεί και δεν έχει επιστραφεί έκτοτε [3].

Τώρα που έχει περάσει το νομοσχέδιο Marco Civil για το διαδίκτυο [4] και που η Βραζιλία φιλοξενεί μια Διεθνή Διαδικτυακή Συνάντηση και προσπαθεί να περάσει την ιδέα ότι είναι η μόνη χώρα που διατηρεί τη πλέον σύγχρονη νομοθεσία σε ό,τι αφορά την προστασία, ελευθερία και ασφάλεια στο διαδίκτυο, αντιμετωπίζουμε μια ακόμη απόπειρα κλοπής δεδομένων, που υπονομεύει την προστασία της ιδιωτικότητας των ερευνητικών προγραμμάτων και ελεύθερης πρόσβασης στην πληροφόρηση, με το κλείσιμο λιστών συζήτησης, ιστοσελίδων και άλλων εργαλείων.

Θεωρούμε ότι η απόφαση να σπάσει το απόρρητο των επικοινωνιών μας, μετά από μήνυση της Εισαγγελίας είναι δυσανάλογη. Εξάλλου, ο server δεν τηρεί κανένα ιστορικό που θα μπορούσε να οδηγήσει στην αναγνώριση των χρηστών του, ως μέρος της Πολιτικής Προστασίας Προσωπικών Δεδομένων [5].

Ζητάμε την αλληλεγγύη όλων των ομάδων, ατομικοτήτων και ιδρυμάτων που αγωνίζονται για μια ελεύθερη κοινωνία και διαδίκτυο. Την Δευτέρα 28 Απριλίου στη 1μμ (τοπική ώρα, ζώνη GTM-3h) θα γίνει διαδήλωση μπροστά από το Κέντρο Επεξεργασίας Δεδομένων από το κτίριο του ινστιτούτου Φιλοσοφίας και Ανθρωπιστικών Επιστημών στο Unicamp, κάθε στήριξη θα είναι δεκτή.

Η αποστροφή μας για αυτήν την πράξη θα μοιραστεί στα κοινωνικά δίκτυα και σε μηνύματα προς την Εισαγγελία στο διαδίκτυο. Hahtags: #SaravaLivre, #netmundial1984, #sarava, #privacidade, #OurNetMundial,
#marcocivildainternet

Απαιτούμε την άμεση παύση των προσπαθειών της αστυνομίας εναντίον των server της ομάδας Saravá και των δεδομένων των χρηστών της.

[1] http://intervozes.org.br/fechamento-da-radio-muda-e-mais-um-atentado-con…
[2] Οι αρχές της ομάδας Saravá: https://www.sarava.org/pt-br/principios
[3] Η κατάσχεση της Saravá το 2008: https://www.sarava.org/en/node/46
[4] Ο Ν.12.965, από τις 23 Απριλίου 2014, ελεύθερη μετάφραση (στα αγγλικά) διαθέσιμη στο https://thecdd.wordpress.com/2014/03/28/marco-civil-da-internet-unoffici… (πρωτότυπο στο http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm )
[5] https://www.sarava.org/pt-br/privacidade

Πηγή : https://www.sarava.org/en/node/104
______

Η συλλογικότητα Saravá διαμαρτύρεται ενάντια στην επιτήρηση των δεδομένων

Βραζιλία – 22 Απρίλη 2014 – Εμείς από την ομάδα Sarava ανησυχούμε για τυχόν απερίσκεπτη ενέργεια εκ μέρους του Γραφείου του Δημόσιου Κατήγορου. Το Γραφείο ζητάει πρόσβαση σε περιεχόμενο που φιλοξενούμε.sarava-servidor-livre

Παρασκευή 25 Απρίλη 2014, νεότερη ενημέρωση: η Ομάδα Sarava πρόκειται να χάσει τον κύριο server της!

Η Saravá είναι μια ομάδα που προσφέρει τεχνολογικές υποδομές και πολιτική σκέψη στα πολιτικά κομμάτια της κοινωνίας εδώ και δέκα χρόνια[0].

Το κύριο αντικείμενο της έρευνάς μας είναι η κατασκευή ασφαλών αυτόνομων συστημάτων επικοινωνίας, με σεβασμό στην ιδιωτικότητα των χρηστών μας και τον εκδημοκρατισμό της γνώσης[1].

Νωρίτερα μέσα στη χρονιά, μας έγιναν γνωστές οι επανειλημμένες αιτήσεις του Γραφείου του Δημόσιου Κατήγορου για να αποκτήσει πρόσβαση στον server μας που βρίσκεται στο πανεπιστήμιο Campinas State University. Η ομοσπονδιακή αστυνομία έκανε αυτές τις αιτήσεις προς το πανεπιστήμιο χωρίς κάποια διαταγή δικαστηρίου, υποτίθεται για να διερευνήσει κάποια παράβαση. Παρά την παρέμβαση της πρυτανείας για να αποφευχθεί η εκ νέου κατάσχεση του server όπως είχε συμβεί στο παρελθόν[2], η επιμονή της αστυνομίας μας αφήνει ανήσυχους για την ασφάλεια των ιστοσελίδων και των email που φιλοξενούμε.

Αυτήν την εβδομάδα, η Βραζιλία δίνει το παράδειγμα στον κόσμο καθώς οργανώνει και ηγείται μιας συνάντησης για να συζητηθεί το μέλλον της διαδικτυακής διακυβέρνησης. Αλλά ενέργειες σαν την προαναφερθείσα δείχνουν βασικά ότι η χώρα μας είναι πίσω από άλλες όσον αφορά την ελευθερία της έκφρασης και την ιδιωτικότητα των ψηφιακών μέσων. Τι ειρωνεία, το Κράτος που αποδέχεται το νέο νόμο για το διαδίκτυο Marco Civil ώστε να προστατεύει τους βραζιλιάνους χρήστες ενάντια σε μέτρα της αστυνομίας, είναι το ίδιο που αντιβαίνει στην πράξη την ίδια την πολιτική του.

Επαναλαμβάνουμε ότι ο server μας χρησιμοποιείται για νόμιμες κοινωνικές δραστηριότητες. Δεν υπάρχει καμία δικαιολόγηση για να πληγεί η ιδιωτικότητα όλων των χρηστών μας με στόχο να αποκτηθεί πρόσβαση σε συγκεκριμένα δεδομένα που υποτίθεται φιλοξενούνται στον server μας.

Ένα τεράστιο κομμάτι αυτού του περιεχομένου είναι, από τη φύση του, online και δημόσια διαθέσιμο. Είναι περιττό να ζητείται αντίγραφο περιεχομένου που παρέχεται ήδη αυτόματα. Επιπρόσθετα, καθώς σεβόμαστε την ιδιωτικότητα των χρηστών μας δεν καταγράφουμε πληροφορίες πρόσβασης κατά τη σύνδεση των χρηστών.

Ζητάμε την άμεση παύση της αστυνομικής επίθεσης ενάντια στον server μας και τα δεδομένα των χρηστών μας.

Περισσότερο από ποτέ, είναι ώρα η Βραζιλιάνικη Κυβέρνηση να δώσει ένα ξεκάθαρο δείγμα ότι σέβεται και προστατεύει την ιδιωτικότητα των χρηστών του Διαδικτύου.

Όλος ο πλανήτης παρακολουθεί.

Συλλογικότητα Saravá
contato AT sarava.org

[0] Οι αρχές της Saravá: https://www.sarava.org/en/principles
[1] Ως παράδειγμα, δείτε την πρωτοβουλία: https://policy.sarava.org/
[2] Κατάσχεση του server της Saravá το 2008: https://www.sarava.org/en/node/46
[3] NETmundial: http://netmundial.br

πηγή : https://www.sarava.org/en/node/99